零信任云化应用

1、“零信任”在云化业务中的安全技术研究信息安全包含了网络安全、数据安全、应用安全、行为安全 等，未来还 有更多安全形式出现。过去我们在规避信息安全的风险问题上更多是从网络 安全这个层面来考虑的，基本上保护的都是网络和网络设备本身。在业务系 统迁移到云上的趋势下，用户更加关注的是 云化应用自身的安全和应用产生 的数据的安全。基于传统网络安全模型或者网络攻防的安全策略属于被动的 防御，是一种被动的安全，组织往往要提前识别可能遭受到的网络攻击风险， 然后考虑应对策略。现在和未来，需要一系列的主动安全，比如零信任的安 全方案，对于应用安全来说，就是主动安全，通过账号安全将安全边界前移 用户侧，可视化技术

2、实现从用户访问上下文行为分析，从而实现零信任的控 制接入，控制访问细颗粒度的权限来实现对应用系统的主动防御。1、引言在网络安全攻防对抗中，由于巨大的利益驱动，往往造成攻守力量不匹配的 局面，攻击者攻击方法越来越多样，传统的通过漏洞进行提权攻击是一种常 见方式。实例中发现，很多访问通过正常的账号密码登陆后发现系统权限管 理不严，从而从内部入侵了系统，获取了大量内部核心数据，形成泄露。斯 诺登事件是目前最严重的由于访问权限问题而导致的数据泄露事件，斯诺登 利用外包人员身份通过正常权限登陆业务系统后，利用系统管理权限不严从 而发现了“棱镜”计划。斯诺登事件发生以后，云安全的从业者开始提出新的解决方案

3、。咨询公司 Forrester Research (简称Forrester)在2013年提出“零信任安全框架(Zero Trust)。这是一种全新的安全框架，是一种主动的安全模型，它的核心原则是默认不再区分内外网，认为内网也是不安全的，所有的访问都需要经过认 证和授权，这对防止组织东西向流量安全起到保护作用。1传统网络安全模型的缺陷组织在应对云计算模式下的网络安全风险时，习惯按照传统管理理念及安 全防护思维进行安全管理和安全加固，许多组织即使投入了大量精力和资源，面对网络攻击时还是防不胜防。1.1传统安全管理理念存在漏洞在传统网络分区架构下（如图1所示），组织网络安全管理部门通常认为内网属于“

4、安全信任网络，将网络基于“安全信任网络和非安全网络划分为不同区域，这种固有思维导致组织在安全建设上投入很多精力和资源在边界 防护上，忽视流量在内部的横向移动，在组织内部（横向）安全上仅通过VLAN 划分、端口隔离等方式来控制流量。一旦边界被突破，攻击者在内网“如入 无人之境”，不会受到过多安全限制。图1传统网络分区架构在云时代，组织往往重点关注业务系统自身功能实现及与云环境的兼容 性，但不够重视云安全防护体系的同步规划，缺乏持续性合规和风险评估， 缺乏有效的安全管理制度来约束用户，存在个别用户滥用访问权限，不严格 遵守管理制度，比如账号信息，凭证借用等增加安全风险，存在审计不严格 的管理现状。

5、1.2应对云化业务安全能力不足组织在将业务系统迁移到云环境的过程中面临许多考验，云安全成为影 响组织发展、业务安全的关键因素。云计算环境下关键信息基础设施范围不 断扩大，业务系统运行所需要的计算、存储、网络资源的空间位置在发生变 化，传统的硬件防火墙在大多数情况下已经无法应对现今的网络威胁。此外， 云化业务与移动互联网、IOT等技术的结合使得各类端点设备与业务系统的 数据交互不再受地理位置或时间的限制，组织需要满足业务流程移动性、可 访问性和敏捷性，组织无法基于传统的物理安全产品，无法满足云计算环境 的灵活性和可扩展性。1.2.1无法保护“模糊”的网络边界云计算通过引入虚拟化技术，将物理资源池

6、化，按需分配给用户，这里涉 及计算虚拟化、网络虚拟化、存储虚拟化。随着业务流程移动性、可访问性 和敏捷性的提高，导致传统内外网边界模糊，组织无法基于传统的物理边界 构筑安全基础设施，组织风险只会不断增加。在云计算中，传统的安全问题仍然存在，诸如网络嗅探、端口扫描、拒绝 服务攻击、中间人攻击、SQL注入和跨站脚本攻击等。在传统信息系统中， 通过在网络边界部署可实现安全的防护。但在云环境中，用户的资源通常是 跨主机甚至是跨数据中心的部署，网络边界不可见，由物理主机之间的虚拟 网络设备构成，传统的物理防御边界被打破，用户的安全边界模糊，因此需 要针对云环境的复杂结构，进一步发展传统意义上的边界防御手

7、段来适应云 计算的安全性。1.2.2业务流量不可见安全事件发生后，管理员疲于面对海量系统日志、用户日志、告警信息 等数据，往往无从下手，不能快速提取有价值的信息，无法有效地结合多种 数据源，来进行综合全局的评判，这就使得组织在应对网络态势的感知上 缺少了整体防护，也就无法完成对网络事态进行检测、防御、预测、响应的 闭环处理。1.2.3无法应对海量攻击云计算下服务器资源变得集中，用户多样性且规模巨大，所遭受的攻击频 率也是急剧增大。黑客利用云环境中的大量主机资源制造“肉鸡”进行提权攻击 或DDoS攻击等，以阿里云为例，平均每天遭受数百起 DDoS攻击，其中 50%攻击流量超过5GBit/s。针对

8、WEB应用的攻击以及口令爆破攻击更是以 亿计算。这种高频率的攻击，给安全运维带来巨大的挑战。1.3运维管理工作繁杂组织通过在网络中部署防火墙、IPS、IDS、WAF等一系列安全产品来建 立安全防护体系，这些产品可能来自不同的厂家，不同产品功能模块、配置 管理、策略管理等需要运维人员掌握， 以便快速响应业务需求或部门、人员 变动的情况，学习成本高且存在人为配置错误造成的业务中断或其他安全事 件。运维人员创建安全策略后没有定期梳理和及时回收，将会导致内网策略 宽松，使安全产品失去本该发挥的防护作用。1.4过于宽松的访问权限用户在内网权限过大，即使管理人员根据人员角色设置访问权限，但用户 依然能够与

9、非授权的业务系统建立网络连接，利用业务系统自身的漏洞来进 行口令爆破、SQL注入等攻击，可能存在不合规的情况下访问一些与本职工 作无关的业务系统造成数据泄漏。1.5传统网络安全模型的革新之路我们认为网络安全的核心是保障数据安全，也就是保护业务系统的安全。 网络安全变革之路从早期的“有边界”时代，演进到“去边界”时代（如图2所示），在演进的过程中有风险和技术的因素在推动传统网络安全模型不断的 去革新和创造新理念、新技术，以适应技术的变化以及更好地防御危险。组织必须意识到依靠传统安全防护手段已经不足以应对当前网络威胁，必须 要由被动安全向主动安全演进。各种新的安全理念层出不穷，但思路仍旧按 照传统

10、边界模型进行防护， 在这个背景下，零信任模型应运而生。图2去边界时代需要零信任2零信任安全框架模型行业研究机构Forrester Research （简称Forrester）在2013年提出了一 个零信任安全架构（Zero Trust）。零信任不是某个具体的技术，从零信任的 理论基础出发，提出数据中心零信任网络的信任重构依赖于全新身份标识的 构建，依赖于全面的身份化。零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全 架构思路给出了新的建议，零信任架构建议组织围绕业务系统创建一种以身 份为中心的全新边界，旨在解决“基于网络边界建立信任”这种理念本身固有的 安全问题。零信任模型不再

11、基于网络位置建立信任，而是在不依赖网络传输 层安全机制的前提下，有效地保护网络通信和业务访问。零信任架构核心思 想主要表现为以下四点：（1）以身份为中心不再基于网络位置作为网络安全访问授权的依据，而是默认在任何网络环 境中以身份信息作为鉴权依据，经过“预验证”“预授权”才能获得访问系统的 单次通道。（2）最小权限原则最小权限原则是构建零信任架构所不可或缺的安全策略之一，每次仅赋予 用户所能完成工作的最小访问权限。（3）持续信任评估在零信任模型中，无论用户处在组织内部或外部，都需要持续的信任等级 评估，如根据用户所处的网络环境、工具等属性，结合上下文， 动态扩展对 网络功能的最小访问权限。业务安

12、全访问在零信任模型中，所有业务系统都隐藏在安全网关后面，安全网关支持 SPA （单包授权）功能，默认丢弃所有未验证及未授权的用户发来的访问请求， 并且所有建立的访问通道都是单次建立的，数据受到加密保护及强制访问控 制。3软件定义边界（SDP）实现零信任安全模型3.1 SDP概述SDP （软件定义边界）是零信任模型的一种解决方案（如图 3所示）， 以基于身份的细粒度访问代替广泛的网络接入，为用户提供业务资源访问。 SDP安全架构一般由三大组件构成：客户端、安全网关和控制器。SDP客户 端具备SPA （单包授权）能力，为用户提供统一的办公入口， SDP控制器负 责人员、设备的身份认证、访问策略生成

13、与下发，提供人员信任等级动态权 限评估，访问行为全流程记录等功能。SDP安全网关作为应用安全发布容器。 SDP方案中的一个关键技术理念：SDP控制器对SDP安全网关的指令，通过 SPA实现默认不响应任何TCP或UDP请求，只有响应通过授权的请求，同 时利用DOH技术，消除了业务系统真实DNS信息和端口对“外部”的可见性 需求，实现了有效“隐身”或对外部人员创建了一个不可见的“黑暗”网络。图3基于零信任的SDP安全解决方案3.2基于零信任的SDP架构优势3.2.1预认证、预授权在传统的连接中，首先，客户端需要建立与服务器端的连接，这一步就 使服务端暴露在公网中，若客户端或服务端有漏洞，则有可能被

14、利用；其次， 用户通过登录页面输入用户名和密码，这一步骤有可能使得用户名和密码被 窃取；最后，传统用户与业务系统通过TCP连接建立的直接接触式访问会有 SQL注入、XSS攻击等安全风险。而在SDP中，首先，控制器对用户进行多因子认证并验证设备的可信度 和可靠性，这一步对用户而言是透明的。认证通过之后，会评估出用户的初 始信任等级并根据等级进行授权，之后才进入用户登录阶段。这两步均是 SDP客户端与SDP控制器进行交互，不涉及对于具体业务系统的访问。当 认证通过后，客户端才能够与安全网关建立连接，由安全网关代理可访问的 服务。并且得益于SPA及DOH技术，有效保护业务系统真实域名、端口 等信息，

15、产生了网络隐身和服务隔离的安全效应，从而将业务系统可能遭受 到的攻击风险转移到控制器层面。3.2.2动态信任等级评估零信任模型通过强大的身份服务来确保每个用户的访问，一旦身份验证通 过，并能证明自己设备的完整性，则赋予适当权限访问资源。持续自适应风 险与信任评估的信任和风险并非一成不变，信任度和风险级别会随着时间和 空间发生变化，需要系统根据安全等级的要求、网络环境等因素，不断学习 和评估，达到信任和风险的平衡。在零信任架构中，所有用户的请求都必须通过组织信任的设备发起，用户 的身份需要鉴定确认是否合法，并且通过遵循管理中枢下发的安全策略才能访问隐藏在安全网关后面的特定的内部资源，整个访问流程

16、参考下图4所示：图4基于属性的权限控制3.2.3动态权限控制在基于零信任的SDP模型中访问控制是动态的，能够应对风险和权限提 升。用户与系统和应用间的互动是实时的。在会话中，用户可以执行任意数 量不同风险级别的事务。当用户行为或环境发生变化时，SDP会持续监视上 下文，基于位置、时间、安全状态和一些自定义属性实施访问控制管理。通 过属性来感知用户的访问上下文行为，并动态调整用户信任级别。在实际实 现中，这些属性可以包括用户身份、终端类型、设备属性、接入方式、接入 位置、接入时间等。对于同一用户需要设定其最小业务集及最大业务集，对 于每次访问，需要基于判定因素（如用户属性、职务、业务组、操作系统

17、安 全级别等）进行安全等级评估，按照其安全等级，进行对应的业务系统访问。3.2.4安全可视化SDP解决方案实现对用户访问业务全程的流量可视化，可以将组织的安 全策略的执行效果直观表达出来，通过可视化技术将在线设备数量、设备状 态、业务状态及安全策略链进行展示，统一直观地展示SDP架构中所有的流 量细节，同时记录用户的异常访问行为，可以帮助安全团队看清、看全全网 的各个端点的情况及访问路径等信息，提升管理员工作效率，提高系统检测 效率，减少反应时间。3.2.5有效降低组织成本一方面，零信任可以借助用户现有的业务系统功能来推动落地，是一个循 序渐进的过程。SDP解决方案可以与组织现有安全产品如漏洞

18、扫描、身份认 证系统等集成，可以极大地降低组织构建零信任所需的投资，并且产生1+12 的安全防护效果。同时SDP解决方案具有极强的可扩展性，可以将更多安全 特性加入到方案中，降低对传统方案的投资，为用户带来统一的安全防护体 系。另一方面，SDP提供统一的身份管理及设备管理等模块，并且依靠静态 安全策略与“信任评级技术相结合的手段输出用户信任等级，自动化生成与下 发安全策略，较少人工维护的工作量，安全策略随单次访问业务请求而建立， 提升安全运维的效率。3.3 SDP在云安全的应用越来越多的企业开始尝试将自身各类业务系统迁移至云端，使得东西向的 安全防护手段不足以满足多租户的个性化安全策略，并且数

19、据在云上变得集 中，容易成为黑客攻击的第一选择。随着BYOD的广泛使用，员工可以从各 个地点通过各种设备访问云上资源，这对管理员来讲需要保护的内容太多， 反而无法聚焦安全的核心数据安全。SDP帮助组织弱化对关注IT基础设施的安全性，而将精力放在云上数据 的安全。通过SDP客户端和安全网关，构建从客户端到安全网关的端到端访 问通道，业务系统授权可见，访问通道随需而成。管理员可以向SDP安全平台添加网络、业务等资源，然后统一管理云中 的所有访问策略。使用基于云的SDP解决方案的另一个好处是，在授予数据 中心或公/私有云内的访问权限时，几乎不需要额外的配置和维护。所有与安 全相关的活动都在云中执行。

20、4现有架构到零信任的演进零信任架构的目的是保护数据。对一个组织的数据资产的清晰理解，是成 功实现零信任架构的关键。通过SDP的方式，组织在实现零信任的道路上需 要提前考虑以下一些关键步骤：（1）统计组织所有的网络资产这个步骤主要为了梳理所有的网络边界，组织要明确知道内部与外部的业 务流量是通过哪些设备发送，哪些安全策略进行控制的。实现零信任的关键 步骤在于将所有现有网络边界弱化甚至取消，构建以身份为核心的新边界。这就要求组织要管理所有硬件设备（例如笔记本电脑、手机、物联网设备等）和数字化组件（例如用户账户、业务系统、数字证书等）以定义新的边界。（2）实现可见性在零信任之路上，可见性是创建整个策

21、略的基石。组织在零信任迁移时所 做的第一步工作，就是为其所有应用和设备建立其全面的、自动化管理的库 存清单。第二步要实现现网安全策略的可见性。零信任的重点之一在于信任管理， 如何建立信任并维护信任是成功与否的关键。在这之前组织须清楚地知道现 有安全机制、管理规范如何授权与鉴权，内部有哪些安全策略？第三步要梳理想要保护敏感数据。首先得知道这些数据都在哪儿，知道数 据在组织网络中的流动方式，知晓都有哪些用户在用哪些设备访问这些数据。 组织要实现可靠的实时数据来告诉你有哪些人和系统正在访问公司资产。（3）需要有效的措施实现对用户和设备的验证零信任模型中需要使用多因素认证技术（MFA）来增强用户认证的可靠性， 并使用其他验证步骤来确定授权的访问级别。无论是公司设备、BYOD还是 公共主机、笔记本电脑或移动设备，基于设备身份和安全情况实施访问控制 策略。只允许受信终端访问公司的资源。无论用户类型（终端用户、特权用 户、外包IT、合作伙伴或客户）或访问的资源如何，都需要应用零信任原则。 除此之外，用户访问决策还需要具有适应性和动态性（即随变化而变）。建立信任零信任模型中，是强调授予信任的可控性，在默认拒绝所有请求的同时， 提供一